US-Überwachungsgesetze größte Hürde für das Abkommen zum grenzüberschreitenden Datenverkehr
PSW Group kommentiert Trans-Atlantic Data Privacy Framework
Ob Cloud oder Analyse-Tools für die Website: US-Unternehmen sind im Geschäftsalltag deutscher und europäischer Unternehmen allgegenwärtig – und damit auch der Datentransfer von personenbezogenen Daten aus der EU in die USA. Um eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten in den USA zu schaffen, einigten sich die EU und die USA vor Jahren zunächst auf das Safe-Harbor-Abkommen, danach auf das Privacy-Shield-Abkommen. Beide hat der Europäischen Gerichtshof allerdings längst für ungültig erklärt.
Mit dem Trans-Atlantic Data Privacy Framework (TADPF) soll nun ein Nachfolgeabkommen geschaffen werden. Was es damit auf sich hat, erklärt IT-Sicherheitsexpertin Patrycja Schrenk: „Das neue Regelwerk soll den Datenzugriff der US-Geheimdienste auf das Nötigste beschränken – also auf jene Aktivitäten, die dem Schutz der nationalen Sicherheit dienen und verhältnismäßig sind.“ Mit einem neuen und zweistufigen Rechtsbehelfssystem sollen Beschwerden von europäischen Betroffenen untersucht und beilegt werden. Zudem müssen sich Unternehmen, die aus der EU übermittelte personenbezogene Daten verarbeiten, an strenge Verpflichtungen halten.
Um die Einhaltung der sich ergebenden Pflichten auch kontrollieren zu können, setzen die Behörden auf spezifische Überwachungs- sowie Überprüfungsmechanismen. Die Geschäftsführerin der PSW Group betont: „In der Summe soll all dies dazu führen, dass der Datenverkehr in die Vereinigten Staaten nicht nur rechtssicher ist, sondern auch vereinfacht werden kann. Daran dürfte die Mehrzahl europäischer Unternehmen ein großes Interesse haben, und auch US-Unternehmen können profitieren.“
Die US Regierung hat die Eckdaten des neuen Abkommens in eine sogenannte Executive Order gefasst, nicht in ein Gesetz und der EU-Kommission vorgelegt. Diese Grundlage des Trans-Atlantic Data Privacy Framework wird derzeit von mehreren Interessengruppen in der EU überprüft, um festzustellen, ob das TADPF den EU-Bürgern tatsächlich einen angemessenen Schutz für ihre Daten in den USA bieten würde.
„Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments empfiehlt eine Ablehnung des Data Privacy Frameworks, denn die Executive Order sei nicht klar genug und könnte jederzeit vom US-Präsidenten rückgängig gemacht oder geändert werden. Das vorgeschlagene Abkommen schaffe keine tatsächliche Gleichwertigkeit des Datensschutzniveaus. Kommt das EU-Parlament dieser Empfehlung nach, wird es wohl gegen den sogenannten Angemessenheitsbeschluss der EU-Kommission für das Data Privacy Framework entscheiden. Die Ansicht des Parlaments ist allerdings unverbindlich, hat aber zumindest ein gewisses Gewicht. Es bleibt weiter abzuwarten, wie die Europäische Kommission sich entscheidet“, so Schrenk.
Ende Februar nahm auch der Europäische Datenschutzausschuss (EDSA) Stellung zum EU-US Data Privacy Framework. In seiner Bewertung hat das gemeinsame Gremium der europäischen Datenschutzbehörden zahlreiche kritische Punkte identifiziert, sich aber nicht gegen eine Annahme durch die EU-Kommission ausgesprochen. „Die zentralen Defizite sind einerseits das Festhalten am Instrument der Massenüberwachung und andererseits die fehlende Transparenz im Rechtschutzverfahren. Hier fordert die EDSA eine Klarstellung noch vor Annahme des Frameworks durch die EU-Kommission. Hingegen begrüßt der EDSA die im Vergleich zu den Vorgängerregelungen wesentlichen Verbesserungen und hebt insbesondere hervor, dass nachrichtendienstliche Ermittlungen in den USA auf bestimmte Bereiche eingeschränkt werden sowie bestimmten Voraussetzungen unterliegen“, so Schrenk weiter.
Zudem lobt die EDSA ausdrücklich den neuen Rechtsbehelfsmechanismus für betroffene Personen in der EU. „Die Aussichten für den TADPF stehen gut, auch wenn viel davon abhängt, ob die USA ihre Hausaufgaben machen werden. Eine der größten Hürden auf dem Weg in die rechtssichere Datenübermittlung ist die überwachungswillige USA selbst. Denn werden die strengen Überwachungsgesetze in den Vereinigten Staaten nicht geändert, bezweifle ich, dass ein EU-Datenschutzniveau gewahrt werden kann. Schließlich waren eben diese Überwachungsgesetze Anlass, die vorigen Abkommen zu kippen. Bisherige Äußerungen, Planungen und Veröffentlichungen lassen nicht vermuten, dass Präsident Biden eine Lockerung der bestehenden Gesetze in den USA plant“, gibt Patrycja Schrenk zu bedenken.
Lesen Sie mehr zum Thema
